拒绝背黑锅“肉鸡”逃生指南
2013-04-29公子白
公子白
如果用户偶尔关注过黑客们的新闻或事迹,那么对“肉鸡”这个词应该不会陌生。看到黑客们动辄调动成百上千台变成了肉鸡的电脑向他人进攻,我们在感觉到震撼的同时,大概也会隐隐后怕。既然每个黑客手上都能掌握这么多的肉鸡,那么自己的电脑会不会在自己不注意的时候已经成为了什么人的“盘中餐”呢?
何为肉鸡
黑客们口中的“肉鸡”,通常指的是已经被入侵者完全控制,已经像案板的鸡一样任人宰割的电脑。这类肉鸡由于被黑客们直接控制,所以其状态同一般中了木马病毒的电脑有很大的差异。
成为肉鸡的电脑不会像中了病毒或恶意插件那样,表现出明显的故障,这是因为黑客们为了长期控制自己的肉鸡,所以他们尽量都会在肉鸡上低调行动。不但很少给肉鸡造成直接伤害,有时为了对肉鸡实施长期控制,黑客们甚至还会在后台帮助肉鸡优化系统、修补漏洞,避免肉鸡的主人发现端倪后彻底检查系统而失去控制权。
除此之外,为了避免自己的肉鸡被用户或杀毒软件察觉,黑客在肉鸡上通常只会使用自己修改过的“免杀版”木马(如图1),虽然破坏力比网络上横行的木马要小许多,但却能很好的躲避杀毒软件的查杀。
肉鸡的危害
不过,大家千万别以自己因此就多了一位在背后默默奉献的保镖,黑客们固然是想让肉鸡的系统保持稳定,但当他们实施自己的违法行为时,会让肉鸡及其用户承受更多的伤害。黑客们通过肉鸡展开的行动包括:
发动DDOS攻击
DDOS的中文全称是分布式拒绝服务(Distributed Denial of Service)。它是一种攻击方式,主要是利用合理的服务请求来占用过多的系统资源,从而使合法用户无法得到系统响应,这是网络上最常见的攻击方式。
而黑客们正是在大量肉鸡上安装DDOS工具,只要在控制端发送一条指令,那么就可以实现所有肉鸡同时执行对目标服务器发送连接请求,服务器就会因为处理这些信息而消耗大量的系统资源和网络带宽导致瘫痪,而成为“肉鸡”的电脑在发动攻击的过程中也会让自己的网络处于濒于瘫痪的状态(如图2)。
变为入侵跳板
黑客的任何入侵行为在理论上都会被服务器的安全日志记录下来,在黑客入侵的过程中如果出现意外情况,那么自己的真实地址则很有可能被记录在服务器中,成为以后警方追查到自己的直接线索。
面对这种威胁,黑客们采用最简单的躲避方式就是先连接被自己完全掌控的肉鸡,把自己的所有入侵行动通过肉鸡完成。这样,即使黑客的入侵行动被发现,自己只需清空肉鸡上的一切记录,那么警方也只能追查到使用肉鸡的用户头上。虽然莫名其妙的用户不大可能因此就背上了黑客的黑锅,但是陷入被调查的麻烦却是免不了的。
被云端
虽然并非每个黑客都会发动诸多攻击行为,不过每台电脑成为黑客的肉鸡后首先要面对的命运就是沦为免费的“云端”工具(如图3),CPU速度快及内存大的电脑会被挂机运行各类黑客工具,硬盘容量大的电脑会用于下载各类影视资源……
如何辨别自己是肉鸡
其实用户的电脑本身变成肉鸡并不可怕,因为黑客们在肉鸡电脑上存放的通常都是些低威胁的木马跟后门程序,用户只需更新自己的安全管家,并将所有的安全设定都按软件建议设置,或者直接重装系统即可切断黑客与肉鸡的联系。不过对于用户而言,最难的地方在于如何判断自己是否已经成为肉鸡了。
账号的异常登录提醒
如果用户发现自己的QQ、YY及带有登录地址记录的网游账号出现异地登录提醒时,这就是自己变成肉鸡最明显的标志,虽然黑客们总是尽力隐藏自己在肉鸡上的行动,但是好奇心本来就比别人旺盛的黑客肯定会在肉鸡电脑上登录各类通讯软件和游戏账号。由于抓取肉鸡的黑客并没有解除密保卡或手机密码等专业盗号者的工具,所以用户的账号只会留下一连串异常登录的信息(如图4)。
电脑自行其是的操作
一个厉害的黑客,虽然尽量隐藏自己的操作,但用户发现自己的电脑出现异常时只要稍加留心,还可以很容易察觉出蛛丝马迹的。如有时会突然发现你的鼠标不听使唤,在你不动鼠标的时候,鼠标也会移动,并且还会点击有关按钮进行操作。正常上网时,突然感觉很慢,硬盘灯在闪烁,就像自己平时在复制文件。当你准备使用摄像头时,系统提示该设备正在使用中。使用电脑的过程中会突然自动重启……
可疑的网络流量
无论黑客将自己的行踪隐藏的多么好,电脑只要是变成了肉鸡,那么它就一定会以惊人的速度消耗网络流量。所以用户如果怀疑自己的电脑成为了自己的肉鸡,那么可以在不使用网络时,仔细观察自己的流量。如果发现网卡和路由器灯在不停闪烁,就要注意了或是屏幕右下角的网卡图标在不停的闪烁;另外,比起杀毒软件,网络防火墙更容易对黑客造成麻烦,所以用户打开防火墙时,如果看到自己失去了对端口的控制,也要小心。
审核安全日志确定入侵
如果用户的电脑出现上述三种情况的任意一种,那么就需要引起警惕了。如果想确定自己的电脑是否真的被入侵,最有效的办法自然是查看系统自己的安全日志:
首先在“运行”窗口下输入“gpedit.msc”,打开“组策略”窗口(如图5)。在左侧窗口依次展开“计算机配置/Windows设置/ 安全设置/本地策略/审核策略”。
双击“审核策略更改”,勾选“成功”和“失败”。再按同样方法分别设置“审核登录事件”、“审核账户登录事件”及“审核账户管理”三项。经过这些设置,当入侵者远程登录系统,用黑客软件扫描你的电脑时(黑客软件通过反复登录系统检测是否为空口令),或是添加账号等操作都会被记下来。用户也可以根据这些日志记录的内容,删除黑客们在本机的所有操作,这样即可让黑客们失去自己对系统的控制权。
不过黑客也不傻,他们通常会把保存在“C: \WINDOWS\system32\config\”下的三个EVT文件删除,这样日志文件就会清空,但它们在删除的同时,也会留下一条日志文件(用来记录入侵者删除了日志),所以如果你看到日志文件只有一条(如图6),或是最后一条日志也都不见了,可以断定自己已经变成了某人的肉鸡。